Petit tour de mot de passe-passe

Il ne se passe plus une semaine sans que l'on entende parler de mots de passe usurpés. Rien de plus normal dans une société qui place ces verrous numériques comme principal rempart pour protéger notre entreprise, notre argent, notre identité, nos données privées de façon générale.

Certains analystes y voient carrément un jeu de guerre qui touche la population civile depuis l'avènement du numérique. Ce n'est sans doute pas sans oublier qu'à l'origine le terme « mot de passe » vient de l'armée. Dans une approche militaire, vous lancez le « mot de sommation », c'est-à-dire la question convenue, et le « mot de passe » doit venir en relation avec la réponse correspondante.

A bien observer la problématique des attaques, on constatera que trois aspects reviennent de façon récurrente sur le tapis: la vulnérabilité intrinsèque du mot de passe, la protection de l'endroit où ils sont mémorisés et la multiplication des couples login/password.

Les mots de passe que nous choisissons pour notre quotidien ont tendance à être faciles à retenir. Cette facilité, si humaine et si pratique, est en réalité une véritable faille de sécurité. Deloitte Canada, dans son rapport TMT 2013, nous confirme que 90% des mots de passe utilisés sont trop faciles à faire sauter et ne protègent en réalité rien du tout. Et un site du gouvernement français nous rappelle que si un mot de passe utilise minuscules, majuscules et chiffres (càd 62 caractères différents), rajouter un caractère au mot de passe multiplie le temps de calcul par 62. L'initiative est donc rapidement très efficace. Mais compliquer n'est ni une garantie de sécurité absolue ni une simplification de votre condition humaine. Eh oui, le problème c'est avant tout nous, nous qui avons une mémoire volatile et qui naturellement utilisons des trucs pour retenir et ne pas oublier. Car un mot de passe aléatoire s'oublie...très facilement. Et chacun d'entre nous a déjà vécu un moment de solitude face à l'écran qui réclame le précieux sésame. Bien entendu, vous avez tenté le coup quand même, et là, catastrophe: accès coupé. Galère momentanée, ras-le-bol de la technologie, contact du helpdesk, tout y passera.

Mais n'est-ce pas mieux que d'avoir un sentiment de viol tel que celui qu'éprouvent les personnes qui découvrent qu'un imposteur a utilisé les "credentials" d'une application? Car un délinquant – pour utiliser un mot modéré – qui parvient à s'introduire dans votre messagerie va certainement chercher des messages pouvant contenir des mots de passe de votre vie numérique.

En cas d'usurpation, une personne intègre et honnête qui estime ne pas avoir commis d'impair remettra en cause, à juste titre, la sécurité du système qui attend, et donc héberge, le mot de passe. En effet, chacun utilise des solutions ou accède à des sites qui demandent une authentification faible. Par exemple le mot de passe n'est pas crypté ou on autorise des mots de passe très faibles (123456 ou password ou encore qwertzu restent au hit parade) sans autre mesure.

Alors une première leçon à tirer est d'identifier ces solutions, de les éviter ou de les remplacer dans la mesure du possible, et de n'y utiliser que des mots de passe uniques sur votre trousseau. Parlons-en de ce trousseau. Vous ne vous inquiéterez qu'avec modération quand votre navigateur a enregistré ce mot de passe sur votre ordinateur personnel (évitez d'accepter un enregistrement sur un poste qui ne vous appartient pas), mais vous allez vite vous rendre compte que les autres se multiplient comme des petits pains. Il est courant d'en avoir plus de 30. Cela commence avec Facebook, puis avec votre messagerie, le code PIN de votre GSM, l'alarme du domicile, les PIN de vos cartes, le récent mais oh combien pénible 3DSecure...et c'est au travail que les choses se compliquent car on va vous demander parfois plusieurs mots de passe forts (comprenant au moins 10 caractères et mêlant des lettres, des chiffres et des symboles). Et l'informaticien vicieux qui pourrit votre vie a mis une règle qui impose un renouvellement tous les mois, qui se souvient des anciens mots et qui rejette les incrémentations. C'est là que la majorité des gens commettent la faute magistrale, le post-it ou le calepin des secrets cachés. Laissez les trainer par inadvertance et vos ennemis, vos mauvais collègues, vos enfants vous dirons MERCI, pour certains ce sera la presse!

Pour rappeler les bases de la sécurité informatique, rappelons la métaphore brillante rédigée par une très sérieuse université du Wyoming: les mots de passe, c’est comme des sous-vêtements, il faut les changer souvent, il faut garder le mystère, il ne faut pas les partager avec ses amis, il ne faut pas les laisser trainer partout et plus ils sont longs, mieux ils protègent.

Est-ce la panacée? Non, nous venons de le voir. Pour y remédier, les solutions qui proposent de l'authentification multifactorielle apportent le premier pilier de la réponse efficace. Elles permettent à l'individu de diminuer la force de son mot de passe en combinant les preuves qui vous identifient avec forte présomption. Les solutions les plus connues au Luxembourg sont bien entendu celles proposées par LuxTrust néanmoins une pléthore de moyens basés sur le son, l'image, des images personnelles, de la biométrie ont vu le jour au cours des 10 dernières années. Le deuxième pilier est certainement la surveillance et la capacité à intervenir dès qu'une suspicion de piratage fait surface. Des professionnels doivent être à même d'assurer un monitoring quasi constant. Le troisième pilier sera de mettre en place pour soi-même, si votre organisation ne vous y engage pas, une politique de sécurité des mots de passe. Pour les particuliers, le Luxembourg n'est pas en reste en vous proposant de nombreux conseils sur le site beesecure.lu.

Et quand vous aurez, comme moi, plus de 60 mots de passe, un réceptacle blindé pourra accueillir ce que votre mémoire défaillante ne peut soutenir. Je ne parle pas d’un produit Google ou d’un DropBox dont la sécurité est reconnue faible, encore moins d’un cloud tel Megaupload qui a défrayé l’actualité, pensez-donc à une solution de coffre-fort virtuel hébergée Luxembourg, un pays qui permet de réellement protéger vos données sensibles. Vous aurez certes un nouveau sésame et l'obligation d'utiliser une authentification forte comme un token mais vous pourrez y écrire en totale confidentialité les autres mots de passe oubliables que vous auriez mis dans votre calepin des secrets.

Article publié dans le journal AGEFI (www.agefi.lu) - Mensuel de février 2013